Guarde y CompartaGusano DOWNAD/Conficker
Origen
Las primeras muestras de Conficker/Kido/DownadUp (detectado por Trend Micro como WORM_DOWNAD.A) fueron descubiertas en Noviembre de 2008 y las nuevas muestras (detectadas como WORM_DOWNAD.AD y WORM_DOWNAD.KK) a principios del 2009. DOWNAD explota una vulnerabilidad de Windows para la cual Microsoft creó un parche (MS08-067) en Octubre.
DOWNAD.AD agregó la habilidad de diseminarse a través de los archivos y dispositivos de almacenamiento móviles en la red (ej. dispositivos USB) utilizando las funciones de AutoRun en Windows.
DOWNAD.KK desconecta los servicios de Seguridad, evitando que las computadoras infectadas se puedan conectar a sitios Web de seguridad además de descargar un Troyano. Se comunica con otras computadoras infectadas vía servicios de comunicación punto-a-punto e incluye un algoritmo para actualizar a las PCs infectadas.
¿Cuál es el objetivo de este gusano?
Tal parece que el objetivo de este gusano es crear una gran red de bots de computadoras infectadas para que sus creadores en algún punto puedan enviar spam, robar información personal (los ID de los usuarios, contraseñas, información de las tarjetas de crédito, etc.) y dirigir a los usuarios a sitios Web maliciosos utilizados para descargar malware adicional o phisihing.
¿Qué pasará el 1° de Abril?
El 1° de abril de 2009, la última variante (WORM_DOWNAD.KK) empezará a modificar la forma en que se comunica con otros nodos infectados en la botnet (PCs, servidores) además de incrementar el número de máquinas que intenten conectarse para infectarlas. No hay evidencia de que el gusano haga algo más allá que modificar sus métodos de comunicación.
¿Cómo se si mi PC está infectada?
Escanee su computadora usando los productos de Trend Micro o HouseCall para verificar si está infectada. Si descubre que está infectado, siga las siguientes instrucciones para erradicar el gusano:
- Usuario residencial (en inglés)
- Pequeñas Empresas (en inglés)
- Medianas Empresas y Grandes Empresas (en inglés)
¿Cómo puedo proteger mi PC para evitar que se infecte?
- Instale inmediatamente los patches o actualizaciones para MS08067 y otras vulnerabilidades tan rápido como los proveedores los liberen. Configure su PC para recibir automáticamente las actualizaciones o patches de Microsoft y otros proveedores de software.
- Asegúrese de que su software de seguridad esté actualizado.
- Deshabilite la opción de “Drive Auto-run” para prevenir infecciones de los dispositivos USB.
- Utilice contraseñas seguras combinando letras, números y símbolos y cámbielos frecuentemente.
- Tome precauciones cuando haga búsquedas de información en línea sobre DOWNAD y Conficker. Hay reportes de que algunos paquetes antivirus están tomando ventaja de esta situación. Ellos le dirán que está infectado y le pedirán que pague dinero para descargar su aplicación, la cual en muchos casos resulta ser malware.
Información adicional:
- Trend Micro CounterMeasures blog: Downad/Conficker, who’s the April Fool? (en inglés)
- TrendLabs Malware Blog: What Will Go DOWNAD on April 1? (en inglés)
- Última variante: WORM_DOWNAD.KK (en inglés)
Adicionalmente, esta amenaza es un ejemplo de una nueva generación de amenazas Web que están siendo desarrolladas por cibercriminales quienes utilizan múltiples técnicas y protocolos para infectar y propagar sus ataques. Trend Micro Smart Protection Network bloquea las amenazas antes de que puedan llegar a su red y nuestras bases de datos de reputación Web, de correo electrónico y de archivos relacionadas en-la-nube nos permitirán analizar y detener rápidamente nuevas amenazas conforme aparecen. Smart Protection Network robustece varias de las soluciones para usuario residencial, pequeña y mediana empresa y grandes corporativos actualmente. Conozca más. (en inglés).
